최고의 보안
보안 매거진 첫 글이니 또,
왜 이 매거진을 만들게 되었는지 난상토론처럼 다양한 주제를 던져 본다.
인생은 아름다워 영화처럼, 내 현실은 시궁창이었으나
40이 될 때까지 꿈을 꾸며 그 누구보다 밝게 살았다.
가까운 사람들이 배신을 하고, 나중에는 그 배신이 이해가 되며 용서했다고 말하는 증오를 하게 되고,
또 그런 와중에도 내 글을 보고 정보를 더 캐낸 후, 과감하게 해당 정보로 협박을 하는 인간 말종을 보며,
내 주특기인 해킹과 보안에 대한 썰을 풀기로 하였다. 사실, 그냥 경찰에게 바로 연락하고 사법권을 이용하는 것이 현명하겠지만. 그러면 사실 똑같은 놈이 되기 때문에 우선은 경고 차원과 결국엔 모든 진실을 밝히겠다는 포부를 여기 적어 둔다.(증거는 차고 넘치기 때문)
우선, 내 특허는 삼성 녹스와 연관되어 있고 사이버 선박 보안 과제에 인용되었다. 내 인스타를 본 분은 알겠지만 ETRI 본원에 들락날락하는 이유도 이와 관련된 내용을 전파하러 간 것이다.
보안이 되어 있지 않은 운영체제를 보안 운영체제로 바꾸는 것으로 특허 범위 때문에 내용은 광범위 하지만, 실제로 휴대폰을 구현을 하고 전 세계로 배포가 되어야 하는 특허였다. 특허 비용만 삼성에서 수억을 냈을 것이다. 우선, 출원에 짱짱한 변리사 법인 고용에, 세계 특허는 나라마다 내야 하고, 나라 묶음이 있지만 비용이 매우 비싸고 지금까지 유지하는데만 해도 돈이 많이 든다.
SAMSUNG KNOX 이후 꾸준히 보안 쪽 관련해서 상용 USB 해킹, 게임 해킹 및 세미나로 수많은 크래커 양성 등을 했다.
보안 분야는 정말 무시무시한 것이 화이트 해커랍시고 크래킹을 해킹이라고 해도 바로 형사처벌이다. 내가 대학생 때 동아리 들어오는 아이들의 네이버 ID를 해킹해서 세미나를 했을 때의 그 썩은 표정들을 잊을 수 없긴 한데, 미리 말을 하고 한 것이다. 상용 USB도 회사에서 보안 설루션 회사를 통하여 개당 3만 원이라는 고가의 라이선스 비용을 주고 쓰던 터라 보안 목적으로 해킹을 했고 이후 보안을 업그레이드했다. 대부분의 보안 회사들이 의뢰를 받으면 해킹을 해 주고 보안 컨설팅을 받는 것이 이 동네 국룰이기도 하다. 다만, 미리 협의가 되어 있지 않는 경우 형사처벌이다. 오래 전이야 형사처벌받고 나와야 진정한 해커고 몸 값이 엄청났지만, 지금은 해킹이 뭐 대수냐 한다. 그도 그럴 것이 건물을 만드는 사람이 대단한 것이지. 그 건물을 약점을 알거나 혹은 폭약 몇 개 설치했다고 모두의 터전을 부수는 사람이 대단한 것은 아니다. 요즘 떠드는 북한 소행 같은 것도 실력 없는 서버 관리자가 면피하려는 목적의 수단이기도 하다.
요즘에 보편화된 해킹은 네트워크 분야가 많고 DDoS 가 일반적인데 나도 크루들과 함께 크몽에서 서비스를 제공한다. 담당 크루가 한 동안 바빠서 작업을 못할 것 같아 4월에나 작업 의뢰가 가능하다.
... 중략...
대충 이런 식의 문의가 진행되고, 최근 10건 정도의 문의가 있었는데 대부분은 쳐냈다.
어릴 적에도 도박 사이트 제작 문의가 있었다고 했었는데,
지금도 뭐, 크게 다르지 않다. 돈 버는 쪽이라면 사실 나도 국가만 하는 도박이나 면세 사업에 대한 여론을 형성하면서
왜 너네만 잘 사냐? 정치는 X 같이 하면서...
라고 할 수는 있겠지만. 이미 우리가 잘 쓰는 토스에서 포인트 제도, 수많은 도박의 변형, 개인정보수집, 심지어 주변 사람 장치 검색까지도 하는 것에 대해서 제지도 못하며 업비트 사기나 빗썸 사기에 대해 IT 지식이 모자라서 모두
무죄
를 주는 나라에서 무슨 기대가 있겠냐고 할 수도 있겠지만. 그래도 동생도 공무원이고 장인어른도 공무원 퇴직하셨고, 대한민국 IT가 걱정되며 거의 매일 연락 주시는 공직자도 계신데 나 역시 희망의 끈을 놓지 않아야 한다는 생각을 많이 하고 나름의 활동을 하고 있다.
자 여기까지가 서론이었다. 과거에도 유명한 보안 설루션을 담당했고, 지금도 여전하다는 말을 하고 싶었다. 그래서 이 말에 무게를 싣고 싶었다.
최고의 보안은 집에 가만히 있으면서 전자기기를 쓰지 않고,
인터넷을 안 하는 것이다.
캠핑 가서 책 읽는데 무슨 해킹을 할 것인가? 어나니머스가 와도 못 뚫는다. 다만 휴대폰을 들고 가면, 내가 간 목적지 도착 장소, 나의 집과 회사가 어딘지도 다 알 수 있다. 그리고 자주 연락하는 사람 목록으로 가족을 알 수 있으며, 인터넷 검색이나 쇼핑 패턴을 보고 내가 어떤 카테고리의 사람인지 특정이 가능하다.
그래서 개인정보보호법이 중요한 것이다. 다만, 재미있는 것은 아예 드러내지 않는 이런 보안도 있지만, 아예 공인처럼 드러내는 보안도 있다. 내가 단언컨대 보이스 피싱 당하거나 관련 보이스 피싱 영화, 드라마에서 앱으로 해킹이 되었다고 하면, 모두 안드로이드 폰이다.
이것은 애플과 구글의 철학에서 비롯된다. 구글은 개방형 철학이기 때문이다. 개발자에게 수많은 자유를 주니까 애플을 빠르게 따라잡을 수 있었고, 자유가 있으니 사람들이 많이 쓴다. 먼저 나온 컴퓨터인 맥보다 윈도즈 기반 컴퓨터를 많이 쓰는 이유도 그렇다. 랜섬웨어가 유행할 때 리눅스나 맥 쓰는 사람이 랜섬웨어 걸렸다는 말을 들어 본 사람은 아마 없을 것이다.
애플은 또 이런 광고를 할 수 있다.
그러면 삼성 모바일 보안 메인 엔지니었다면서 나보고 뭐 했냐고 할 수 있겠다. 우선, 난 만들고 퇴사했고 재직 당시는 다른 모든 부서의 개발 설루션도 막아서 몇 달간 컴플레인에 시달렸다. 그들은 막힌 줄도 모르다가 나중에는 SE for Android 때문에 막힌 것을 알고 계속 연락을 주었다. 그래서 내 연락처는 뭐가 안된다고 하면 연락이 오는 그런 연락처였다. SE for Android는 폰 전체를 먹통으로 만들 수 있고 root 도 못 뚫는 최상의 보안이다. 이를 정책으로써 완화를 해 줘야 하는데 삼성에서 수십억 들여서 만든 이 정책을 구글은 공짜로 요구했다. 아니면 안드로이드 승인을 안 해주겠다고 하니, 뭐 어쩔 수 있나? 구글 코리아 직원들은 관련 없다. 본사에서의 요청 사항이니까. 구글 욕하는 건 아니니 이해해 주길 바란다.
아무튼, 삼성에서도 삼성 스토어 앱 제품만 검수하면 사용자가 해킹당할 일은 없는데, 구글이 삼성 스토어까지도 내리라고 하다가 나중에 그냥 허가되지 않은 앱으로 해서 풀어줬었다. 그 뒤 10년은 내가 없던 때라 어떻게 되었는지 모르지만 아이가 지플립을 좋아해서 집에 삼성폰도 꾸준히 사고 있기에 내부 사정을 듣지 않아도 내용은 뻔하다. 사실 지인에게 물어도 되지만, 난 상장 정보도 친한 친구에게 안 알려주는 사람이다. 그 친구 4월에 만난다. 내 친구 병욱이~ 종우랑 같이 보기로 했다.
여하튼, 이렇게 써 놓으면 삼성폰 쓰면서 해킹당한 것이 안드로이드를 만들고 승인해 주는 구글 탓이라고 할 수 있는 근거가 되겠다. 솔직히 구글도 애플 스토어만큼 검수를 하고, 앱을 퇴출시키고 첫 앱 올리는 기간도 길게는 4개월까지 둔다면 어느 해커가 앱을 마켓에 올릴 수 있을까? 그리고 IPA 설치처럼 어렵게 해야지 APK 설치는 너무도 쉽다. 이건 설루션은 이미 있는 것이라 삼성에게 팁을 주면, 삼성 스토어의 앱만 받으면 절대 해킹당하지 않는다는 캐치프레이즈를 걸고 마케팅을 해도 될 만한 기술은 이미 들어가 있으니 관련해서 내부 정책만 좀 더 만들면 된다. 그런데 아마 구글이 제지를 할 것이니, 돈이 많은 사람들 대상으로 보안폰이라고 해서 따로 상품을 만들어도 좋을 것이다. 그것이 바로 플랫폼과 사용자를 가진 강자의 moving이며, 구글과 토론회도 불사하고 보안에 사활을 걸어도 좋다. 그리고 삼성에게는 통신사가 갑인데 KT랑 협업하던 SK랑 협업하던 보안 관련해서는 통신사와 협업을 하고 사용자의 보안에 대해서 책임을 지면 갑/을 관계가 역전될 수도 있다. 나 역시 지금은 아이폰 유저지만 내가 원하는 보안 기능이 들어갔을 때 삼성폰으로 쉽게 갈아탈 수 있다. 가령 다음과 같은 것이다.
1. 토스나 구글 어플에서 수집되는 내 개인 정보에 대한 모든 정보를 알기 쉽게 내가 볼 수 있고 또 차단할 수 있도록 한다.
2. 내 개인정보가 토스나 구글 어플에서 악용되었을 때 그 책임을 해당 어플 제조사에게 넘기는 계약을 체결하고 고객에게 알린다. 그게 아닐 시 삼성 플랫폼에서 앱을 차단한다. 이건 뭐 번들 ID만 차단해도 되고 SEAndroid(NSA의 스테판 스몰리가 SE for Android라고 쓰라고 했지만 난 싫다.) 로도 가능하다. 그리고 해당 앱은 고객의 보안에 대해 소중히 하지 않아 삼성에서 퇴출했다고 알리면 된다. 그럼, 뭐 토스 쓰는 사람은 아이폰을 쓰던지. 아니면 다른 카카오뱅크로 갈아타던지 할 것이다.
3. 기본적으로 유저 정보가 다 구글 플랫폼으로 가는데 정부랑 협업해서 우리나라 사람의 정보는 우리 정부에서 할 수 있도록 한다. 사실 인공지능이 나온 이상... 그리고 굳이 유튜브 없어도 대체 IT 제품 만들 수 있는 나라다. 유튜브 최강자들은 방송국으로 불러들이면 된다. 수익이 만족스럽지 못할 수도 있겠으나 유튜브 대신 넷플릭스와 손잡고 유사 서비스를 만든다면, 글로벌 시장 진출도 무리 없겠다.
4. 북한과 통일하고 중국과 함께 한다.
너무 현실적이게 적으면 또 표적이 될 수도 있으니 이 정도로 하고 이 RAW 한 글도 조금만 유지하겠다.
이 글을 쓴 이유는 간단하다. 돈을 너무 많이 가지고 있지 말고, 많이 베풀면 해킹당할 돈 자체가 없다. 가난한 사람들은 이미 완벽하게 보안이 된 상태다. 그리고 나만해도 카스퍼스키 포함해서 얼마나 많은 보안 플랫폼을 쓰고 있고 그 많은 컴퓨터를 관리해야 하는데... 너무도 싫다. 그냥 산에 들어가서 별이나 보며 삼겹살이나 구워 먹고 싶다. 개인 서버도 운영하고 있는데 아는 형이 가끔 내 서버 상태로 공격해서 옥신각신 하기도 하고. 이 전자파 때문에 주변 모두가 딸이 있는 상황에서 다들 아이폰이나 지플립 같이 예쁜 폰 쓴다고 하는데 무슨 딱딱한 보안 매거진을 만드느냐 할 수도 있겠다.
리눅스를 만든 리누스 토발즈가 말했다. -이미지가 아닌, 링크를 클릭하면 바로 그 장면부터 시작한다-
https://youtu.be/o8 NPllzkFhE? si=3 mr9 QUmMq8 xclgB0&t=1025
의역하면,
나는 엔지니어다. 누군가는 하늘의 별을 보며 꿈을 꾸며 걸을 때,
나는 땅을 바라보며 그들이 빠지지 않게 웅덩이를 메운다.
보안 매거진을 하는 이유는 간단하다. 웅덩이를 메우는 수많은 엔지니어들과 네트워킹하며, 그들의 이야기를 전달하려고 한다. 수많은 사람들이 꿈을 이야기하겠지만, 내 네트워크에 있는 사람들은 술자리에서도 다양한 IT 기술에 대해 이야기하고 그것이 얼마나
옵티멀
한지 따져본다. 옵티멀은 산업 공학에서의 핵심 keyword로 사실, 모든 IT 산업을 관통하는 단어다. 요즘 최고 핫한 인공지능 딥시크조차 이 키워드를 달성했기 때문에 유명해진 것이고, 앞으로도 최적화에 관한 주제는 최고 우선순위에 있을 것이다. 내가 이 분야에 대해서 연구하는 것이 아니라 이 그룹에 있는 사람들은 이 주제만 평생 연구하고 주변 사람도 다 그런 사람들뿐이다. 그러나 기업 밖으로 그런 고민들이 나가지 않으며, 사회에 공유되지 않아 공감되지 않는 그들의 직업은 순식간에 모두 사라질지도 모른다.
일일이 다 설명하기도 힘들고, 나도 아는 것보다 모르는 것이 더 많기 때문에 우선, 카스퍼스키부터 쓰세요.라고 하는 것이다. 툴을 쓰면 그 툴이 집중하고 있는 분야가 보이고 keyword 가 보인다. 비록, 1년에 5만 원 정도로 유료이긴 하지만 돈이 전혀 아깝지 않을 것이라 장담한다. 이제 디지털 시대니, 시큐리티의 각 항목이 무엇인지 어느 정도는 보편적으로 알아야 한다고 생각한다. 그리고 해킹 위협도 많이 줄고, 해킹에 대한 법은 더 강력하게 작동되어야 한다고 생각한다. 물론, 그 보다 먼저 돈 가지고 장난치는, 시세 조작 사기는 먼저 처벌해야 한다. 감옥에 넣어놔도 사회에 아무런 -가 없다. 오히려 엄청난 + 뿐이다.
가난 자체가 피싱범에 대한 최고의 보안이다. 최고의 보안을 뚫고, 범죄를 저지르면 최고형에 가한다.
그래서 대출까지 하게 만드는 피싱범은 사형시켜야 한다.
일반적인 최고의 보안은 집에 있으면서, 인터넷을 아예 안 하는 것이다.
돈은 별로 없지만, 집에 오면 책만 읽어도 마음이 부자가 되는 사람,
혹은 전자기기 없이 산책하면서 자연과 함께 풍요로운 사람,
언제든 떠날 수 있는 가벼운 마음으로 행복한 사람은
이미 최고의 보안 전문가인 것이다.
이런 철학에서 시작하면 보안은 매우 간단하다. 인터넷 공유기로만 공유되고 외부 연결 되지 않은 내 NAS Server를 해킹할 수 있는 사람은 직접 침투가 가능한 미션임파서블 요원 밖에 없다.
우리나라에는 없지만 해외에는 소셜엔지니어링 학과도 있다. 이건 사기꾼이라고 하면 이해가 쉬운데 사람 자체를 해킹하는 것이다. 가령 어제 전화한 010-7509-**** 의 사람과 같이. 예전에는 전화번호 전체 공유를 하면 범죄자들이 서로 연락해서 연합하려고 했기에, 전체 공개는 안 한다. 어서 빨리 보이스피싱 번호 공개법을 만들어서 해당 번호는 그 수괴의 죄수번호로 지정하고, 영구 결번을 만드는 법이 제정되기를 바라며 글을 마친다. 보이스 피싱범들이 돈이 워낙 많아서 법이 제정되기는 힘들다는 것이 현실이다. 빗썸, 업비트 사기꾼들이 한국 사법권 보다도 위에 있다고 생각하듯이 말이다.
그러나 진실과 정의는 결국 승리한다.
죄 없는 사람이 결국 무죄 선고를 받듯이, 무죄 선고를 받은 그자들도 결국 유죄 판결이 내려질 것이다. 그들이 바라는 것은 이렇게 말하는 사람이 자기들이 정의보다 신봉했던 돈에 움직이는지 확인해 보는 것뿐이다. 판사가 그 돈을 미래 퇴직금으로 돌려받는다고 해서 본인들의 행동이 정당화되는 것은 아니겠지만, 그만큼 본인들도 자본주의에 배신을 당했기에 그렇게 하지는 않았을까 이해해 보려 최선을 다해 본다. 그러나 IT 분야는 '보안'처럼 눈에 쉽게 보이지 않으니 그것을 이용하지 않았나, 그런데 그 선택을 나처럼 공익제보로 쓰지 않고 본인들 배만 불리지 않았나라는 것의 결론은 내가 충분히 내줄 수 있다. 그냥
당신들 인생은 틀렸다.
라고 말해주고 싶다. 늘 죽이고 싶다고 말하고 생각은 있지만, 우리 사회에서 그런 것은 용납되지 않기 때문에 가상 세계에서나 사기꾼들을 능지처참해 본다. 그러나 결국 틀렸다는 것은 그들도 안다. 그것이 세상의 이치다. 사기꾼도 자기 자식은 피해자들에게 보복당하지 않고, 사기꾼 손에서 안 크길 바라니까 말이다. 다른 사람의 행복을 파괴하며 얻은 가정의 행복은 사실, 언제든 파괴되어도 괜찮은 행복이어야 한다. 해킹과 크래킹 지식이 좀 있다고, 혹은 미필적 고의로라도 디지털 세상에서 다른 사람의 삶을 파괴한다면, 본인들도 언제든 파괴될 의무와 권리가 있는 것이다. 이것은 공소시효도 없다. 번 돈을 다 썼다고 해도 권도형 꼴 나는 것이다.
수많은 사람들이 만들어도 놓은 보안 플랫폼을 악용하여 사기를 친 권도형은 서울대 보다 학벌이 더 좋지만, 종국엔 정의의 심판을 받게 되었다.
한국에도 공범이 있다. 다만, 한국 정도는 돈으로 덮을 수 있었을 뿐이다. 내가 하고 싶은 말은 그냥 운 좋게 잘 넘어갔으면 앞으로는 잘하라는 말을 전하고 싶다.
블록체인도 핵심 아이디어가 공개된 보안이다 보니 관련된 이야기가 이렇게 많다. 난잡하게 적어 놓은 건 미니맵을 보시라는 독자들과의 약속이니 한 동안 유지하다가 또 단편적인 다음 이야기로 찾아뵙겠다.
긴 글 읽어주셔서 고맙습니다. 즐거운 주말 보내세요~
- 하준호 드림 -
